¿Cómo determinar el alcance de la compensación por ser atacado por DDoS?

Prevenir y manejar ataques es el trabajo diario de los departamentos de seguridad de las principales plataformas. Entre el lote 18 de casos de comunicados emitidos recientemente por la Fiscalía Popular Suprema, hay un caso en el que se usó un ataque DDoS para provocar un bloqueo del servidor. Debido a que el atacante destruyó la evidencia y la empresa víctima no conservó adecuadamente la evidencia que causó la pérdida, trajo dificultades para la condena y compensación del atacante. A través de este caso, puedo recordarles a mis amigos del departamento de seguridad: ¡la tecnología es muy importante en el trabajo, pero también es necesario entender la ley! Hechos básicos del caso A principios de 2017, el acusado Yao Moumou y otros aceptaron el empleo de Wang Moumou (manejado en otro caso), reclutaron a varios técnicos de redes y establecieron la organización de piratas informáticos "Dark Night Group" en el extranjero. El "Dark Night Group" compró una gran cantidad de recursos del servidor del acusado Ding Moumou y otros tres, y luego utilizó un software troyano para controlar el servidor de control y llevar a cabo ataques DDoS. De febrero a marzo de 2017, los miembros del "Dark Night Group" utilizaron computadoras con 14 servidores de consola tres veces para llevar a cabo ataques DDoS continuos en las direcciones IP de los clientes de tres compañías de juegos que operan en el servidor en la nube de una compañía de Internet. El equipo de seguridad de la red de la empresa de Internet víctima detectó varios ataques DDoS dirigidos a los servidores en la nube de la empresa con un gran tráfico y un alto valor máximo en el trabajo diario, y se desconocía la dirección IP de origen del ataque. El ataque provocó el bloqueo de las IP de las tres compañías de juegos y hubo problemas como la imposibilidad de iniciar sesión en el juego, la desconexión frecuente de los usuarios y la falla del juego para ejecutarse normalmente. Co-creación de Animoca Brands: un Web3 verdaderamente descentralizado necesita más desarrolladores: Jinse Finance informó que el cofundador de Animoca Brands, Yat Siu, dijo durante la Korea Blockchain Week (KBW) de 2022 que más desarrolladores necesitan ingresar al campo Web3 para brindar más opciones para los consumidores a la hora de elegir una plataforma. Siu señaló que si bien los desarrolladores siempre han estado entusiasmados con la creación de aplicaciones de software, muchos continúan "luchando bajo el yugo de las plataformas centralizadas", como Apple y Google, lo que obliga a los desarrolladores a "sobrevivir según sus reglas". Él dijo: "No tengo un reemplazo para Facebook, por lo que Facebook tiene el monopolio. Pero si está en la cadena de bloques, puedo transferir datos libremente y puedo ser un Facebook diferente. Entonces puedo elegir traerme el mayor valor. Facebook ". (Cointelegraph) [2022/8/11 12:17:54] Una compañía de Internet pagó más de 110,000 yuanes a los usuarios del juego debido a su ataque; reparó y pagó más de 40,000 yuanes por esto. Los órganos de seguridad pública arrestaron sucesivamente a 11 sospechosos. La investigación encontró que los miembros del "Equipo de la Noche Oscura" se habían coludido entre sí después de cometer el crimen y destruyeron o encriptaron sus teléfonos móviles, computadoras portátiles y otras herramientas criminales para evitar el ataque. (Ataque DDoS: se refiere a un ataque de red en el que los piratas informáticos lanzan solicitudes de servicio de alta frecuencia al objetivo mediante el control remoto de recursos como servidores o computadoras, lo que hace que el servidor objetivo quede paralizado porque es demasiado tarde para procesar solicitudes masivas). Alameda transfirió 17,8 millones de DAI a FTX: News el 24 de junio, la dirección de la billetera marcó Alameda: FTX Deposit (0x83a127952d266A6eA306c40Ac62A4a70668FE3BD) transfirió 17,8 millones de DAI a FTX. [2022/6/24 1:29:35] Resultado del juicio De acuerdo con el (2018) Juicio Penal No. 418, Guangdong 0305: Yao y otros fueron declarados culpables de destruir sistemas informáticos de información. Entre ellos, Yao Moumou fue condenado a 2 años de prisión, los 10 acusados ​​restantes fueron condenados a 1 o 2 años de prisión. Después de que se pronunció el veredicto, ninguno de los 11 acusados ​​presentó una apelación y el veredicto ha entrado en vigor. Análisis del caso En este caso, hay dos cuestiones importantes en la condena de Yao XX y otros: La primera cuestión es: Yao XX y otros destruyeron la computadora y otros soportes de datos utilizados en el crimen, cómo probar la relación entre el comportamiento y la relevancia del terminal de datos? ¿Cómo probar que existe una relación de causalidad entre su ataque y el daño causado? En los hechos de este caso, aunque el equipo de seguridad de la red de una empresa de Internet detectó múltiples ataques DDoS de gran tráfico y picos elevados contra los servidores en la nube de la empresa, no bloquearon la dirección IP de origen del ataque. El presentador del blog británico de Bitcoin, Peter McCormack, anunció su retiro de Twitter: Golden Finance News, el presentador del blog británico de Bitcoin, Peter McCormack, quien compró el Bedford Football Club, anunció su retiro de Twitter. Después de eso, su cuenta será operada por su equipo de blogs. Peter McCormack dijo que eliminaría la aplicación de Twitter después de perder demasiado tiempo en discusiones sin sentido y leyendo comentarios crueles todos los días, pero aún se le puede contactar por correo electrónico. Peter McCormack había sido demandado previamente por CSW por difamación por declarar públicamente que Satoshi Aomoto CSW no era Satoshi Nakamoto, el inventor de Bitcoin. [2022/3/21 14:09:15] Al mismo tiempo, para evitar un ataque, los miembros del "Dark Night Group" se coludieron entre sí después de cometer el crimen y destruyeron o encriptaron sus teléfonos móviles, computadoras portátiles y otras herramientas criminales; La herramienta extrae evidencia directa que prueba directamente que el ataque es iniciado por el dispositivo. En este caso, los investigadores probaron el hecho de que el perpetrador cometió el crimen por los siguientes tres aspectos: Primero, existe una correlación entre el comportamiento y la terminal de datos. A través de los datos del sistema proporcionados por la empresa víctima, la IP atacada y casi 200 000 IP de origen del ataque se examinaron y analizaron más, y se filtraron las direcciones IP de las principales fuentes de ataque. Descubrimiento: entre estas direcciones IP, 198 direcciones IP son hosts controlados en la botnet y estos hosts están controlados por 14 servidores finales de control. En segundo lugar, existe una correlación entre los terminales de datos y los actores. La cadena pública EVM Ambrosus lanzó un plan de financiación para desarrolladores ecológicos de $10 millones: El 7 de febrero, Ambrosus Core, la base técnica del ecosistema Ambrosus de la cadena pública EVM, anunció el lanzamiento de un plan de financiación para desarrolladores a gran escala para la cadena de bloques Ambrosus. desarrolladores que implementan aplicaciones de finanzas descentralizadas (DeFi) y otras soluciones descentralizadas. Se informa que Ambrosus es un protocolo de cadena de bloques compatible con EVM de capa 1 completamente operativo que proporciona escalabilidad, seguridad de datos a prueba de conocimiento cero y una capacidad de almacenamiento de datos integrada única. (Enlace de origen) [2022/2/7 9:36:05] Basado en evidencia como el contenido del chat en línea de Yao XX y otros y los registros de transacciones bancarias, se descubrió que Yao XX y otros del "Dark Night Group " eran de Ding XX El hecho de que et al. compraron los derechos de control de los 14 servidores finales de control mencionados anteriormente. En tercer lugar, existe una correlación entre el comportamiento y el resultado del daño. A través del tiempo de ataque determinado en el primer paso, el tiempo de daño del servidor, la escala del ataque y el evento de que el "Dark Night Team" envió correos electrónicos a la empresa víctima después del ataque, se puede encontrar: el tipo de ataque, características de forma de onda y protocolo de red de la fuente de ataque principal, con las mismas características de recursos de ataque que el servidor de ataque vendido por Ding Moumou y otros y controlado de hecho por Yao Moumou et al; el ataque ocurrió al mismo tiempo que ocurrió el daño. También se encontró que cuando ocurrió el ataque, no había otros ataques de la misma escala en la red. Por lo tanto, se puede determinar que el ataque principal proviene del servidor de control realmente controlado por Yao et al., y vendido por Ding et al. Fundador de la empresa matriz de Grayscale: optimista sobre Bitcoin, tokens de privacidad y una pequeña cantidad de otras criptomonedas: Golden Finance informó que Barry Silbert, fundador de la empresa matriz de Grayscale, Digital Currency Group, dijo en Twitter que soy bajista con respecto a las acciones, la renta fija y el real. Sea optimista con Bitcoin, monedas de privacidad y un puñado de otras criptomonedas, manténgase alejado de las deudas y manténgase líquido. [2022/1/7 8:31:56] En este caso, la prueba de que el presunto delincuente envió correos electrónicos a la víctima para extorsionarla después de realizar el ciberataque es una prueba importante para determinar la relación causal entre el hecho del ataque y el resultado del daño. La segunda pregunta es: ¿Cómo se debe determinar el monto de las pérdidas de las empresas de Internet? En este caso, la empresa víctima planteó que debido al ataque no se podía realizar el servicio y reembolsó al cliente 114.358 RMB; los salarios del personal pagados por la reparación de datos y funciones del sistema fueron de 47.170 RMB. ¿Pueden todas estas pérdidas contarse como pérdidas criminales? El monto de las pérdidas ocasionadas por la destrucción de los sistemas informáticos es un tipo de "consecuencias graves" previstas en el artículo 286 de la Ley Penal. De acuerdo con lo dispuesto en este artículo: “Si las consecuencias son graves, serán reprimidos con pena privativa de libertad no mayor de cinco años o prisión penal; si las consecuencias son especialmente graves, serán reprimidos con pena privativa de libertad de no menos de cinco años." En la práctica, el tamaño de las consecuencias dañinas a menudo se juzga por la cantidad de ganancias ilegales y las pérdidas económicas resultantes. El estándar de pérdida económica no refleja necesariamente de forma completa y precisa el daño causado por actos delictivos. En algunos casos, la cantidad de ganancias ilegales o pérdidas económicas no es grande, pero la cantidad de usuarios afectados por ataques cibernéticos es particularmente grande, o por otras consecuencias, ha causado impactos sociales adversos. Sin embargo, en este caso, la evidencia del número de sistemas informáticos y usuarios afectados ya no está disponible, y las consecuencias perjudiciales de la conducta solo pueden determinarse en función de las pérdidas económicas causadas. De acuerdo con el artículo 11 de la Interpretación del Tribunal Popular Supremo y la Fiscalía Popular Suprema sobre varias cuestiones relativas a la aplicación de las leyes en la tramitación de causas penales que ponen en peligro la seguridad de los sistemas informáticos de información, las "pérdidas económicas" incluyen: "pérdidas económicas causadas directamente a los usuarios por actos delictivos que pongan en peligro los sistemas informáticos y los gastos necesarios pagados por el usuario para restaurar los datos y funciones.” En este caso, además de la pérdida económica directa causada por la falla del servicio, los salarios del empleado pagados por La empresa víctima para restaurar los datos y funciones del sistema también son gastos necesarios derivados del delito; también debe reconocerse como pérdida económica en este caso. En la sentencia se reembolsaron al cliente 114.358 RMB por la falla del servicio provocada por el ataque, lo que teóricamente puede identificarse como la pérdida económica de este caso. Sin embargo, debido a que la empresa lesionada no presentó suficientes documentos de respaldo sobre los estándares de gasto y la base de los gastos, el tribunal no reconoció esta parte de los gastos como pérdidas económicas en este caso. Además, se gastaron 47 170 RMB en salarios de empleados para reparar funciones y datos del sistema; el tribunal determinó que este costo era un costo necesario incurrido por el delito y fue la base para determinar la pérdida económica en este caso. Finalmente, para la situación de que el costo de la restauración se mezcle en parte con el salario de los empleados de la empresa, el tribunal utilizó esto como base para dictar sentencia y le dio al autor una pena más leve según corresponda. Escrito al final En este caso, el actor implementó métodos anti-investigación como alquilar un servidor de terceros, destruir herramientas criminales y borrar registros de chat; pero estos métodos no afectaron la adquisición de evidencia relevante y la determinación de causalidad. Skynet es extenso y es escaso pero no falta; me gustaría recordarles a todos los viejos amigos que los métodos de investigación son mucho más profundos de lo que piensan, ¡así que no usen su cerebro! ¡Además, es muy importante preservar la evidencia en caso de ataques relacionados! Si la IP atacante puede bloquearse en primer lugar, los registros de datos electrónicos relevantes pueden convertirse en una evidencia poderosa para concluir el caso. Además de guardar los datos electrónicos relevantes que fueron atacados la primera vez, también es muy importante guardar la evidencia de la pérdida directa causada por el ataque y la prueba de reparación, mantenimiento, compensación y otros gastos debido al ataque. . En el proceso penal, la norma probatoria exigida para la condena es diferente a la norma civil. El hecho de que se conserve suficiente evidencia no solo determina si puede obtener una compensación, sino también si puede condenar al perpetrador de acuerdo con el monto de la pérdida. Solo conservando la prueba en su totalidad de conformidad con la ley podemos ser "invencibles" en diferentes escenarios de litigio. Apéndice: Las normas se basan en la "Ley Penal de la República Popular China": Artículo 286: El delito de destrucción de los sistemas informáticos viola las normas estatales, elimina, modifica, agrega e interfiere con las funciones de los sistemas informáticos, provocando que la computadora mal funcionamiento del sistema de información, si las consecuencias son graves, serán sancionados con pena privativa de libertad no mayor de cinco años o pena privativa de libertad, en cuanto a las "consecuencias graves" previstas en el artículo 286 de la Ley Penal, la Interpretación de el Tribunal Popular Supremo y la Fiscalía Popular Suprema sobre varias cuestiones relativas a la aplicación de la ley en la tramitación de casos penales que ponen en peligro la seguridad de los sistemas informáticos de información "Se estipula expresamente: Artículo 4 Quien destruya las funciones, datos o programas de aplicación del sistema informático de información y se encuentre en cualquiera de las siguientes circunstancias, será tipificado como delincuente de conformidad con lo dispuesto en los párrafos primero y segundo del artículo 286 de la Ley Penal. "Consecuencias graves": (1) causar que el software o hardware principal de más de diez sistemas informáticos dejen de funcionar normalmente; (2) eliminar, modificar o agregar datos almacenados, procesados ​​o transmitidos en más de veinte sistemas informáticos de información (3) ganancias ilegales de más de 5000 yuanes o pérdidas económicas de más de 10.000 yuanes; El sistema informático proporcionado por los usuarios antes mencionados no funciona normalmente durante más de una hora; (5) causando otras consecuencias graves. Artículo 6 La producción y difusión intencional de programas destructivos, tales como virus informáticos, que afecten el normal funcionamiento del sistema informático, en cualquiera de las siguientes circunstancias, se considerará como "consecuencias graves" según lo dispuesto en el tercer párrafo del artículo 286 de la Ley Penal : (1) ) hacer, proporcionar o transmitir el programa especificado en el Punto (1) del Artículo 5, causando que el programa sea difundido a través de redes, medios de almacenamiento, archivos y otros medios; (2) causando que más de 20 sistemas informáticos ser implantado en (2) y (3) programas; (3) proporcionar virus informáticos y otros programas destructivos a más de diez personas; (4) obtener ganancias ilegales de más de 5.000 yuanes o causar pérdidas económicas de más de 10.000 yuanes; " "Sistema informático de información" y "sistema informático", tal como se mencionan en esta interpretación, se refieren a sistemas con funciones automáticas de procesamiento de datos, incluidos ordenadores, equipos de red, equipos de comunicación, equipos de control de automatización, etc. La "información de autenticación de identidad" a que se refiere esta Interpretación se refiere a los datos utilizados para confirmar la autoridad de operación del usuario en el sistema de información de la computadora, incluidos números de cuenta, contraseñas, contraseñas, certificados digitales, etc. La “pérdida económica” a que se refiere esta Interpretación comprende la pérdida económica directamente causada al usuario por el delito de poner en peligro el sistema informático informático, así como los gastos necesarios pagados por el usuario para restaurar datos y funciones

Tags：

AAVE